联想新UEFI固件漏洞影响数百万台笔记本电脑

现已发现三个影响力极大的统一可扩展固件接口（UEFI）安全漏洞正在影响联想消费者的各种笔记本型号，这些漏洞使得恶意攻击者能够在感染设备上部署及执行固件植入。

这些漏洞被追踪为CVE-2021-3970、CVE-2021-3971和CVE-2021-3972，在4月19日发布的一份报告中，安全研究员表示后两者“影响固件驱动程序，原本只能在联想消费类笔记本电脑的制造过程中使用。”

“它们也被错误地包含在生产BIOS映像中，并且没有正确地被停用。”研究员补充道。成功利用这些漏洞能够让攻击者禁用SPI闪存保护或安全启动，从而有效地使攻击者能够安装在系统重启后仍能继续存在的持久性恶意软件。

另一方面，CVE-2021-3970与其公司的系统管理模式（SMM）中的内存损坏案例有关，导致攻击者能够以最高权限执行恶意代码。

这三个漏洞于2021年10月11日向PC制造商报告，随后于2022年4月12日发布补丁。联想描述的三个漏洞的摘要如下：

CVE-2021-3970 —— LenovoVariable SMI 处理程序中的一个潜在漏洞，由于在某些联想笔记本型号中验证不足，可能导致允许具有本地访问权限和提升权限的攻击者执行任意代码。

CVE-2021-3971 —— 在某些消费者联想笔记本设备的旧制造过程中所使用的驱动程序存在潜在漏洞，又错误地包含在BIOS映像中。可能导致允许具有提升权限的攻击者通过修改NVFAM变量来修改固件保护区域。

CVE-2021-3972 —— 一些消费者联想笔记本设备在制造过程中所使用的驱动程序存在潜在漏洞，该驱动程序未被停用，可能导致具有提升权限的攻击者通过修改NVRAM变量来修改安全启动设置。

该漏洞已经影响了联想Flex；IdeaPads；拯救者；V14，V15和V17系列；以及ThinkPad yoga系列。加上自2022年年初以来已经披露Insyde Software的InsydeH2O、HP UEFI和Dell中的50多个固件漏洞。

“UEFI威胁是极其隐蔽且危险的，”安全研究员道，“它们在启动过程的早期执行，然后将控制权转移到操作系统，这表示这些漏洞可以绕过堆栈中几乎所有可能阻止其操作系统有效负载执行的安全措施和缓解措施。”

声明：本文来自山石网科安全技术研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。